En diciembre, OTUS, con el apoyo de VolgaCTF y CTF.Moscow, invita a todos los que estén cerca de la seguridad de la información a una competencia en línea para encontrar vulnerabilidades. Obtenga más información y regístrese aquí . Mientras tanto, te contaremos más sobre el formato y la participación, y también recordaremos cómo fue el evento en 2019.
Formato
La abreviatura CTF significa capturar la bandera. Hay 2 formatos de este tipo de competiciones:
- Ataque-defensa , donde los equipos obtienen su servidor o red y deben asegurar su funcionamiento. La tarea es sumar tantos puntos como sea posible por la defensa o la información robada ("banderas") de los equipos rivales.
- Basado en tareas , donde cada participante recibe un conjunto de tareas y debe enviar soluciones dentro del tiempo asignado. La respuesta, también conocida como bandera, puede ser un conjunto de caracteres o una frase.
Nuestras competencias CTF se organizan en un formato basado en tareas .
¿Cómo estuvo el año pasado?
En 2019 participaron 217 personas. Los participantes tuvieron que resolver 9 tareas, tres en cada dirección: ingeniería inversa, pruebas de penetración y seguridad Linux. Tardó 5 horas en completarse.
Las tareas tienen diferentes niveles de dificultad y, en consecuencia, el costo en puntos. La última vez, solo se aceptaron el 40% de las respuestas enviadas. Damos ejemplos de resolución de tareas del año pasado:
1. Ingeniería inversa
Tareas para descompilar código, restaurar la lógica del programa utilizando exclusivamente código de bajo nivel, investigar el funcionamiento de aplicaciones móviles.
ejemplo de la tarea
Nombre: Bin
Points: 200
Descripción:
Esta vez nos encontramos con un archivo binario. La tarea es la misma, obtener la contraseña secreta.
Adjunto: tarea
Solución:
Dado un archivo binario. Cárguelo en el desensamblador y vea seis funciones de verificación escritas en C ++.
Se fabrican de forma idéntica y se denominan entre sí, comprobando la bandera en piezas de 5 elementos.
Restauramos paso a paso utilizando información del desensamblador. Recibimos la bandera en partes:
0) verifique la longitud
1) bandera {
2) feefa
3) _172a
4) k14sc
5) _eee}
Combine y obtenga la bandera:
flag {feefa_172ak14sc_eee}
2. Pentest
Los participantes buscan vulnerabilidades en sitios web utilizando métodos de prueba de penetración.
ejemplo de tarea
Nombre: Bases de datos
Puntos: 100
Descripción: El sitio utiliza bases de datos de forma activa. Prueba la inyección SQL.
Enlace al sitio: 193.41.142.9 : 8001 / shop / login
Solución:
Vaya a la sección principal de la tienda / tienda / productos /, hurgando en el campo de búsqueda, encontramos una inyección de sql.
Ingrese 1 "O" 1 "=" 1 "-, desplácese hacia abajo y vea el producto ausente anteriormente, la bandera está en su descripción.
Bandera: bandera {5ql_1nject10n_15_t00_51mpl3_f0r_y0u}
3. Seguridad de Linux + seguridad de desarrollo
Las tareas tienen como objetivo comprobar la corrección de la configuración del servidor y encontrar errores en el desarrollo de software.
: Algo
: 50
: . safe development. . : 666c61677b32646733326473323334327d. .
.
: 193.41.142.9:8002/
: task.7z
:
. , , .
Python:
import binascii binascii.unhexlify ("666c61677b32646733326473323334327d")
Obtenemos la bandera: bandera {2dg32ds2342}
Puedes ver todas las tareas de CTF-2019 aquí .
¿Qué pasará este año?
Hemos añadido la cuarta disciplina "Seguridad de aplicaciones web". Durante 6 horas, los participantes deberán resolver 12 tareas, 3 en cada dirección.
Fechas y premios
La competencia se llevará a cabo el 5 de diciembre de 10 am a 16. En cada categoría: ingeniería inversa, pruebas de penetración, seguridad de Linux y seguridad de aplicaciones web, se determinan los ganadores.
Las inscripciones están abiertas hasta el 4 de diciembre hasta las 7:45 pm
Los premios principales - capacitación gratuita en cursos OTUS sobre seguridad de la información - serán para quienes sean los primeros en resolver correctamente los 3 problemas en una de las categorías. Quienes ocupen el segundo y tercer lugar recibirán descuentos exclusivos en la matrícula. Y, por supuesto, todos los participantes recibirán nuevos conocimientos, el placer de resolver problemas y un descuento adicional del 10%.
Los días 8 y 10 de diciembre, los organizadores y profesores realizarán webinars especiales, donde resumirán los resultados, analizarán las soluciones a los problemas y también te contarán más sobre nuestros cursos.
¿Quién puede participar en el concurso CTF?
El evento está abierto a todos los que estén más o menos interesados en la seguridad de la información.
¿Quiere saber más? A continuación te esperamos en el webinar introductorio del 3 de diciembre a las 20:00, donde te informaremos de todas las condiciones de la celebración y responderemos tus dudas. Regístrese para no perderse la transmisión .